代码审计 - 第 66 | CN-SEC 中文网

代码审计

原型污染漏洞的简析及利用

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

03月18日64 views评论

阅读全文

代码审计

某OA 0day审计分析

前言本次审计的是一套Yii框架开发的OA系统，算是小0day吧，由于尚未公开，大部分都是厚码。本篇文章由星盟安全团队成员@Zjacky师傅投稿，博客地址为https://zjackky.githu...

03月15日30 views评论

阅读全文

代码审计

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

点击蓝字，关注我们日期：2024-03-11作者：ICDAT介绍：这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...

03月13日37 views评论

阅读全文

代码审计

CVE-2023-49442 利用分析

1. 漏洞介绍 JEECG(J2EE Code Generation) 是开源的代码生成平台，目前官方已停止维护。JEECG 4.0及之前版本中，由于/api接口鉴权时未过滤路径遍历，攻击者可构造包含...

03月12日47 views评论

阅读全文

代码审计

.NET 反序列化Xunit1Executor漏洞分析

01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET平台免费开源的单元测试框架，常用于并行测试和数据驱动测试。目前支持 .Net Framework、.Net Core、....

03月10日24 views评论

阅读全文

代码审计

Java实战篇-XXE漏洞利用从潜到深

目标经典渗透场景 - 登录框（授权合法渗透）初步挖掘发现某JSP路径返回包泄露了代码信息，且疑似存在XXE漏洞通过泄露的代码构造出post请求包测试，漏洞存在Poc：<?xml version=...

03月09日88 views评论

阅读全文

安全工具

使用太阿（Tai-e）进行静态代码安全分析

概述 Tai-e是针对java的静态程序分析框架，支持包括指针分析、数据流分析、污点分析在内的诸多静态程序分析。由于Tai-e并非专门用来做静态代码安全分析，所以并非开箱即用，在实际安全分析中使用有许...

03月09日82 views评论

阅读全文

代码审计

粉丝投稿：ofcms 1.1.2 代码审计

sql注⼊在前端新增⼀条代码⽣成列表，抓取数据包通过搜索路径system/generate定位到SystemGenerateController类⽂件在create⽅法中打个断点进⾏分析db.upda...

03月08日27 views评论

阅读全文

代码审计

Spring Data REST代码审计浅析

0x00 前言 Springboot + Spring MVC大大简化了Web应用的RESTful开发，而Spring Data REST更简单。Spring Data REST是建立在Data Re...

03月08日16 views评论

阅读全文

代码审计

【安全科普】Python之pickle反序列漏洞

网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同，python也有序列化/反序列化的方式python序列化主要有pickle、marshal...

03月07日58 views评论

阅读全文

代码审计

代码审计-某.net程序文件写入漏洞分析

0免责声明文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。前言前段时间看到公开了一个漏洞payl...

03月07日30 views评论

阅读全文

代码审计

记一次对VAuditDemo的白盒审计

0x0声明由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人承担，Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知，我们将立即删除相关内容并致歉。请遵...

03月06日35 views评论

阅读全文

原型污染漏洞的简析及利用

某OA 0day审计分析

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

CVE-2023-49442 利用分析

.NET 反序列化Xunit1Executor漏洞分析

Java实战篇-XXE漏洞利用从潜到深

使用太阿（Tai-e）进行静态代码安全分析

粉丝投稿：ofcms 1.1.2 代码审计

Spring Data REST代码审计浅析

【安全科普】Python之pickle反序列漏洞

代码审计-某.net程序文件写入漏洞分析

记一次对VAuditDemo的白盒审计

在线咨询

微信